小心!Google Play 中出現首個使用代碼注入Android惡意軟體——Dvmap
前言
從2017年4月開始,研究人員就開始在Google Play商店發現了一個新出現的安卓root惡意軟體。與其他root惡意軟體不同,該木馬不僅能將其模塊安裝到系統中,還會將惡意代碼注入到系統運行的時間庫來獲取root許可權並保持持續訪問。目前,卡巴斯基實驗室目前已經將其命名為Trojan.AndroidOS.Dvmap.a。
通過Google Play傳播root惡意軟體並沒有什麼驚奇的,自從2016年9月以來,已經有100多種的Ztorg木馬變種上傳到了Google Play。但Dvmap是非常特別的root惡意軟體,它使用各種最新的攻擊技術,但最有趣的是它將惡意代碼注入到系統庫libdmv.so或libandroid_runtime.so中。
這使得Dvmap成為第一個在運行時將惡意代碼注入系統庫的Android惡意軟體,根據統計,它已從Google Play商店下載超過50000次。目前,卡巴斯基實驗室已向Google報告了該木馬,隨後Google就將其從商店中刪除。
在Google Play上的Trojan.AndroidOS.Dvmap.a
為了繞過Google Play商店的安全檢查,惡意軟體創建者使用了一個非常有趣的方法,他們首先在2017年3月底之前將一個合法的應用程序上傳到商店,隨後在更新該合法程序時,注入惡意程序,通常他們會在更新的當天再向Google Play上傳一個合法的應用程序。在4月18日至5月15日期間他們至少進行了5次這樣的操作。
所有Dvmap惡意應用程序都具有相同的功能,它們會從安裝包的assets文件夾解密多個檔案文件,並從利用「start」啟動可執行文件。
有趣的是,Dvmap木馬甚至在64位的安卓版本中都起作用這是非常罕見的。
在32位和64位安卓版本中的一部分Dvmap代碼
所有加密的檔案文件可以分為兩組:第一組包括Game321.res,Game322.res,Game323.res和Game642.res,這些都是在感染的初始階段使用的,而第二組則是Game324.res和Game644 .res,用於攻擊的主要階段。
初始階段
在此階段,Dvmap木馬會嘗試獲取根許可權並試圖在系統上安裝多個模塊,除了一個名為「common」的檔案外,此階段的所有檔案都會包含相同的文件。如下圖所示,這是一個本地根漏洞包,Dvmap木馬使用了4個不同的exploit pack文件,3個32位系統和1個64位系統。如果這些文件成功獲得root許可權,該木馬將在系統中安裝多個工具多個模塊包括用中文寫的幾個模塊,以及名為」com.qualcmm.timeservices」的惡意app。這些檔案包含文件「.root.sh」,其中還包含一些中文說明:
.root.sh文件的一部分
攻擊的主要階段
在這個階段,Dvmap木馬會從Game324.res或Game644.res啟動「start」文件。該文件將檢查安裝的Android版本,並決定使用哪個庫進行攻擊。對於Android 4.4.4及更高版本來說,Dvmap木馬將從libdvm.so庫中使用_Z30dvmHeapSourceStartupBeforeForkv,對於Android 5和更新版本,它將從libandroid_runtime.so庫中使用nativeForkAndSpecialize。這兩個庫都是與Dalvik和ART運行系統相關的運行時間庫。在使用之前,Dvmap木馬將以bak_ 備份原始庫。
使用libdvm.so庫
在攻擊期間,Dvmap木馬將使用惡意代碼覆蓋現有的代碼,以便所有可以執行的操作都會執行/ system / bin / ip,這可能非常危險,會導致一些設備在覆蓋之後立即崩潰。然後Dvmap會將攻擊過的庫放回系統目錄。之後,木馬將從存檔(Game324.res或Game644.res)中使用惡意代碼代替原始的/ system / bin / ip。此時,Dvmap就可以確保其惡意模塊會執行系統許可權了。但惡意ip文件不包含原始ip文件中的任何方法,這意味著所有正在使用此文件的應用程序將失去某些功能,甚至會開始崩潰。
惡意模塊「ip」
該文件將由被攻擊的系統庫執行,它可以關閉「VerifyApps」,並通過更改系統設置啟用來自第三方app商店的應用程序。此外,它可以授權「com.qualcmm.timeservices」應用程序設備管理員許可權,而無需與用戶進行任何交互,只需運行命令即可。對於獲取設備管理員許可權來說,這種做法是非常罕見的。
總結
由於Dvmap木馬通過Google Play商店發布,並使用了一些非常危險的技術,包括攻擊系統庫,從而將具有不同功能的惡意模塊安裝到系統中。 它的主要目的是進入系統並執行具有root許可權的下載文件,但目前研究人員並沒有從它們的命令和控制伺服器收到這樣的文件。
另外,這些惡意模塊會向攻擊者反饋它們將要做的每一步, 所以研究人員認為這個惡意軟體仍在測試研發階段。
MD5
43680D1914F28E14C90436E1D42984E2
20D4B9EB9377C499917C4D69BF4CCEBE
如何預防被Dvmap攻擊
我們建議安裝了「顏色拼塊」遊戲的用戶對手機的數據進行備份並恢復出廠設置。由於該木馬目前仍在測試階段,所以重新恢復後,它的攻擊力就會消除。其次,要從正規的APP商店進行下載。
點擊展開全文
※一種基於SDR實現的被動GSM嗅探
※利用開源工具分析新型PowerPoint惡意文檔
※還有什麼不會被入侵?路由器 LED 燈已成為攻擊入口
※中國Foscam製造的IP攝像機存在大量漏洞,且未被修復
※如何利用HackRF分析無線電信號,解讀無線語言?
TAG:嘶吼RoarTalk |
※SynAck成首個使用Process Doppelg?nging代碼注入技術的勒索軟體
※WordPress Plugin AutoSuggest插件SQL注入復現與分析
※WordPress插件YITH WooCommerce Wishlist SQL注入漏洞
※clrinject:向CLR Runtimes和AppDomain中注入代碼的工具
※Mac OS SearchPageInstaller廣告軟體通過mitmproxy攔截流量並注入廣告
※如何針對Windows中ConsoleWindowClass對象實現進程注入
※meanswhile x Danner Mountain Light「Harness」注目之機能要素注入
※Nike Air Foamposite Pro 注入「大蘋果城」血液
※Jean-Michel Basquiat、Keith Haring 及 André Saraiva 藝街作品注入噴漆罐包裝設計
※Salesforce向Commerce Cloud注入更多人工智慧新服務
※不再「印個Logo就完事」!全新元素注入後Anti Social Social Club春夏系列發售在即!
※Distinct Life x Converse 注入純粹的汽車城之魂
※低調玩味—Off-White 將「Industrial Belt」注入新皮革拖鞋單品之中
※歐文4「Mamba Mentality」 將注入科比5「Prelude」元素
※AJ 1 注入 React 科技!「混血」 新作 Air Jordan I High React 七月登場
※街頭味注入—Danner 攜手 Billy』s 打造別注版「Tachyon」軍靴
※EntityFramework Core 2.0執行原始查詢如何防止SQL注入?
※Mybatis的sql注入攔截
※為甜品注入活力,玩心大發的創意大師Christophe Michalak
※高端改造—Versace x UNITED ARROWS & SONS 為 Chain Reaction 注入日本傳統工藝